24、Windows系统管理工具ProcDump与PsTools使用指南

Windows系统管理工具ProcDump与PsTools使用指南

1. ProcDump工具介绍

1.1 ProcDump与Procmon协同工作

当ProcDump运行时，Procmon会捕获事件，ProcDump会将其事件发送给Procmon。通过特定的过滤和高亮设置，可以看到文件、注册表、调试和异常事件发生的准确顺序，这是单独使用Procmon或ProcDump无法实现的。

1.2 非交互式运行ProcDump

ProcDump不需要在交互式桌面会话中运行。例如，当你有一个长时间运行的目标进程，不想在监控时保持登录状态，或者想跟踪在无人登录或注销期间发生的问题时，就可以非交互式运行它。

可以使用PsExec以System账户在非交互式会话和桌面中运行ProcDump，示例命令如下：

psexec -s -d cmd.exe /c procdump.exe -e -t testapp c:\temp\testapp.dmp ^> c:\temp\procdump.out 2^> c:\temp\procdump.err

如果目标应用程序在注销期间崩溃，这种命令比ProcDump在同一会话中运行效果更好。但如果注销终止了目标应用程序，ProcDump将无法捕获转储文件。

需要注意的是，当目标进程与ProcDump在不同桌面运行时，ProcDump无法监控无响应的应用程序窗口。

1.3 从目标进程分离ProcDump

ProcDum